มาตรการรับมือความเสี่ยงทางไซเบอร์ควบคู่กับการใช้ AI สำหรับธุรกิจขนาดกลางและขนาดย่อม (SME) คือชุดการดำเนินงานเพื่อสร้างสุขอนามัยทางไซเบอร์ (Cyber Hygiene) ขั้นพื้นฐาน เช่น การใช้ MFA, การสำรองข้อมูล และมาตรการป้องกันฟิชชิ่ง ก่อนที่จะนำ AI มาใช้ในการทำงาน พร้อมทั้งกำหนดกฎระเบียบการใช้งาน AI ขั้นต่ำที่จำเป็น บทความนี้จัดทำขึ้นเพื่อผู้บริหาร ฝ่ายธุรการ และผู้ที่รับผิดชอบงานด้าน IT ควบคู่กับงานอื่นในบริษัท SME ที่ไม่มีเจ้าหน้าที่ IT ประจำ โดยเป็นคู่มือปฏิบัติเพื่อเตรียมความพร้อมด้านการป้องกันก่อนที่จะเร่งนำ AI มาใช้งาน เนื้อหาถูกออกแบบมาให้ผู้อ่านได้รับรายการตรวจสอบ 6 ข้อที่สามารถนำไปเริ่มดำเนินการได้ภายใน 30 นาทีหลังจากอ่านจบ

สมมติฐานที่ว่า "บริษัทเราเล็ก จึงไม่ตกเป็นเป้าหมาย" นั้นไม่เป็นความจริงอีกต่อไป ผู้โจมตีจะทำการสแกนแบบสุ่มและบุกรุกจากเป้าหมายที่มีการป้องกันอ่อนแอที่สุดก่อน การแพร่หลายของ AI ยิ่งทำให้สถานการณ์นี้เปลี่ยนไป โดยเส้นทางใหม่ๆ เช่น ข้อความฟิชชิงที่สร้างโดย AI, คำสั่งโอนเงินผ่านการปลอมแปลงเสียง (Voice Cloning) และการป้อนข้อมูลภายในบริษัทลงในเครื่องมือ AI ฟรีโดยไม่ตั้งใจ กำลังเริ่มเกิดขึ้นเป็นปกติในองค์กรขนาดกลางและขนาดย่อม (SME)

CISA ได้ระบุใน Cyber Guidance สำหรับ SME ว่า เหตุการณ์ความปลอดภัยทางไซเบอร์กำลังเพิ่มขึ้นในองค์กรที่มีทรัพยากรจำกัดในการรับมือกับแรนซัมแวร์และการโจมตีรูปแบบอื่นๆ นอกจากนี้ NIST AI Risk Management Framework (AI RMF) ยังระบุว่าจำเป็นต้องมีการจัดการความเสี่ยงด้าน AI ใน "ทุกองค์กรไม่ว่าจะขนาดใด" และ "ทุกแผนก" โดยตั้งอยู่บนสมมติฐานที่ว่า หากมีการนำ AI มาใช้ ไม่ใช่แค่บริษัทขนาดใหญ่เท่านั้นที่ต้องรับผิดชอบ แต่ SME ก็อยู่ในสถานะเดียวกันด้วย

คำแนะนำสำหรับธุรกิจขนาดกลางและขนาดย่อม (SME) ของ CISA ถูกจัดทำขึ้นโดยคำนึงถึงสถานการณ์ปัจจุบันที่ธุรกิจ SME ซึ่งมีทรัพยากรจำกัดกำลังเผชิญกับการโจมตี เช่น แรนซัมแวร์ (Ransomware) และการฉ้อโกงทางอีเมลธุรกิจ (Business Email Compromise หรือ BEC) ในมุมมองของผู้โจมตี ธุรกิจ SME เป็นเป้าหมายที่มี "โอกาสได้รับเงินค่าไถ่สูง" เนื่องจากมีการป้องกันที่อ่อนแอและผลกระทบจากการหยุดชะงักของธุรกิจส่งผลโดยตรงต่อผลกำไร ลักษณะเด่นของการโจมตีนี้ไม่ใช่การมุ่งเป้าแบบเฉพาะเจาะจง แต่เป็นการโจมตีแบบไม่เลือกหน้า โดยใช้การสแกนอัตโนมัติเพื่อหาองค์กรที่มีช่องโหว่และบุกรุกทันทีที่พบ

AI ช่วยเพิ่มประสิทธิภาพการทำงานให้กับธุรกิจขนาดกลางและขนาดย่อม (SME) ได้อย่างมาก แต่ในขณะเดียวกันก็นำมาซึ่งความเสี่ยงรูปแบบใหม่ๆ ที่เพิ่มขึ้นด้วย โดยมี 3 ประเด็นหลักดังนี้:

• AI-generated phishing: จุดสังเกตแบบเดิมที่ว่าข้อความดูไม่เป็นธรรมชาติได้หายไป ทำให้การหลอกลวงผ่านอีเมลมีความแม่นยำสูงขึ้น
• Deepfake และ Voice clone: การปลอมแปลงเสียงและใบหน้าของผู้บริหารเพื่อสั่งโอนเงินหรือขอรหัสผ่าน
• การรั่วไหลของข้อมูลภายในสู่ Generative AI: พนักงานนำรายชื่อลูกค้าหรือสัญญาต่างๆ ไปวางในบริการ AI สาธารณะ

รายงาน "Deepfake Threats to Organizations" ที่ออกร่วมกันโดย CISA, NSA และ FBI ได้ระบุว่าสื่อสังเคราะห์ (Synthetic media) เป็นภัยคุกคามที่เกิดขึ้นจริงจากการโจมตีแบบสวมรอยที่มุ่งเป้าไปยังองค์กรต่างๆ

ภายในองค์กรมักมีการแบ่งแยกหน้าที่กันว่า "AI Governance เป็นเรื่องของฝ่ายส่งเสริม DX" และ "มาตรการทางไซเบอร์เป็นเรื่องของฝ่าย IT" แต่ในทางปฏิบัติ ทั้งสองเรื่องนี้มีความเกี่ยวเนื่องกันโดยตรง หากไม่มีกฎเกณฑ์ว่าสิ่งใดควรหรือไม่ควรป้อนเข้าสู่ AI ข้อมูลย่อมรั่วไหลได้ และหากไม่ได้เปิดใช้งาน MFA สำหรับบัญชีอีเมล อีเมลฟิชชิงที่สร้างโดย AI เพียงฉบับเดียวก็อาจทำให้ AI Policy ทั้งหมดกลายเป็นเรื่องไร้ความหมาย หน่วยงานระดับนานาชาติรวมถึง CISA ต่างมีหลักการร่วมกันว่าควรสร้างระบบ AI ด้วยแนวคิด "secure by design" ดังนั้น การนำ AI มาใช้และการวางรากฐานด้านไซเบอร์จึงควรถูกจัดการภายใต้แผนงานเดียวกันจึงจะเป็นแนวทางที่สมเหตุสมผลที่สุด

การสะสมมาตรการป้องกันโดยไม่ทราบว่าต้องป้องกันจากอะไร จะทำให้ประสิทธิภาพกระจัดกระจาย NIST CSF 2.0 ฉบับ Small Business Quick-Start Guide ได้กำหนดให้ "การทำความเข้าใจสินทรัพย์ ระบบงาน และข้อมูลในปัจจุบัน" เป็นขั้นตอนแรกสำหรับธุรกิจขนาดกลางและขนาดย่อมในการเริ่มต้นบริหารจัดการความเสี่ยง ดังนั้น ก่อนที่จะเริ่มอภิปรายเรื่อง AI จุดเริ่มต้นที่สำคัญคือการระบุสิ่งที่ต้องปกป้องให้ชัดเจนเสียก่อน

ข้อมูล 6 ประเภทที่พบเห็นได้บ่อยในหน้างานของธุรกิจขนาดกลางและขนาดย่อม (SME) ซึ่งเป็น "ข้อมูลสำคัญแต่ยังไม่ได้ถูกจัดทำรายการ" มีดังนี้ เพียงแค่เขียนระบุตำแหน่งที่อยู่และสถานที่จัดเก็บข้อมูลเหล่านี้ลงในกระดาษแผ่นเดียว ก็จะช่วยให้การตัดสินใจในภายหลังรวดเร็วขึ้น

นอกเหนือจากตำแหน่งที่จัดเก็บข้อมูลแล้ว สิ่งที่สำคัญไม่แพ้กันคือการจัดการว่าใครสามารถเข้าถึงข้อมูลแต่ละส่วนได้บ้าง สภาพการณ์ที่บัญชีของผู้ที่ลาออกไปแล้วยังคงอยู่ พนักงานขายทุกคนสามารถเข้าถึงโฟลเดอร์ของฝ่ายบัญชีได้ หรือการใช้รหัสผ่านอีเมลส่วนกลางร่วมกัน ทั้งหมดนี้ถือเป็นความเสี่ยงทางไซเบอร์ที่ยังคงอยู่เช่นเดิมก่อนที่จะมีการนำ AI มาใช้ เพียงแค่ทบทวนสิทธิ์การเข้าถึงตามหน่วยงานโดยยึดหลักการให้สิทธิ์น้อยที่สุด (least privilege) ก็จะช่วยลดขอบเขตความเสียหาย (blast radius) ในกรณีที่เกิดข้อมูลรั่วไหลลงได้อย่างมาก

สำหรับบริษัทญี่ปุ่นขนาดกลางและขนาดย่อมที่ขยายธุรกิจเข้าสู่ภูมิภาคอาเซียน ข้อมูลมักจะมีการรับส่งกันระหว่าง 3 ฝ่าย ได้แก่ สำนักงานใหญ่ บริษัทในเครือในท้องถิ่น และบริษัทคู่สัญญา ทำให้สถานะว่าใครสามารถเข้าถึงข้อมูลในส่วนใดนั้นมีความคลุมเครือได้ง่ายเป็นพิเศษ การจัดทำแผนผังการเข้าถึง (access map) จึงเป็นวิธีที่มีประสิทธิภาพอย่างยิ่งสำหรับองค์กรลักษณะนี้

CISA は中小企業向けに「Four Essentials」として、強力なパスワード、多要素認証 (MFA)、バックアップ、ソフトウェア更新の 4 つを最初に取り組むべき対策として整理しています。英国 NCSC も同様に、中小組織向けの基本としてバックアップ、パスワード、マルウェア対策、ソフトウェア更新を挙げています。AI 利用ポリシーに関する議論は、これら 4 つが整ってから始めても遅くはありません。

MFA（多要素認証）は最も費用対効果が高い対策です。メールアカウントが乗っ取られると、取引先への詐欺メール送信、クラウド経由での社内データ持ち出し、認証メールを悪用した他のサービスへの侵害など、被害が連鎖します。多要素認証を有効にしておけば、パスワードが流出しても二段階目の認証で大半の被害を防ぐことができます。

最低限、以下の3カテゴリのアカウントについては、今日中にMFAを有効化する価値があります。

• 業務用メール (Microsoft 365 / Google Workspace)
• ネットバンキング・決済サービス
• クラウドストレージ (Google Drive / OneDrive / Dropboxなど)

パスワードは長さを優先し、業務サービスごとに使い回さないようにしてください。SaaSの数が増えるほど人間の記憶に頼る方式には限界が来るため、パスワードマネージャーを一つ選定し、全員で運用するほうが安全です。

หัวใจสำคัญของการสำรองข้อมูลไม่ใช่แค่ "ได้สำรองไว้หรือไม่" แต่คือ "สามารถกู้คืนได้จริงหรือไม่" ไม่ใช่เรื่องแปลกสำหรับธุรกิจขนาดกลางและขนาดย่อมที่จะประสบปัญหา "มีข้อมูลสำรองแต่ไม่สามารถกู้คืนได้" หลังจากถูกโจมตีด้วย Ransomware จึงควรสร้างนิสัยในการตรวจสอบ 3 ข้อต่อไปนี้อย่างน้อยไตรมาสละ 1 ครั้ง:

• ข้อมูลสำคัญ (6 ประเภทที่กล่าวถึงข้างต้น) ได้รับการสำรองข้อมูลอย่างสม่ำเสมอ
• ข้อมูลสำรองถูกแยกออกจากระบบหลักทั้งทางกายภาพและทางตรรกะ
• มีบันทึกการทดสอบการ Restore (กู้คืน) ข้อมูลจริง

สำหรับการอัปเดตซอฟต์แวร์ ให้หมั่นอัปเดต OS, แอปพลิเคชันทางธุรกิจ, เบราว์เซอร์ และเฟิร์มแวร์ของเร้าเตอร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ เนื่องจากเมื่อช่องโหว่ถูกเปิดเผย การสแกนหาช่องโหว่จะเริ่มขึ้นภายในเวลาเพียงไม่กี่วัน ความล่าช้าในการอัปเดตจึงกลายเป็นช่องทางที่ผู้ไม่หวังดีใช้บุกรุกระบบได้โดยตรง

การโจมตีส่วนใหญ่ที่วิสาหกิจขนาดกลางและขนาดย่อม (SME) ต้องเผชิญจริงนั้น ไม่ใช่การโจมตีด้วย AI ระดับสูง แต่เป็นการโจมตีที่มุ่งเป้าไปที่ตัวบุคคล เช่น อีเมล ใบแจ้งหนี้ปลอม คำสั่งโอนเงิน และการปลอมแปลงเป็นคู่ค้า ซึ่งใน CISA Phishing Guidance ก็ได้รวบรวมมาตรการรับมือที่ปรับให้เหมาะสมสำหรับธุรกิจขนาดกลางและขนาดย่อมไว้เช่นกัน

สิ่งที่ควรนำมาเป็นกฎระเบียบภายในองค์กรมี 3 ประการ ดังนี้:

• ตรวจสอบโดเมนของผู้ส่งก่อนเปิดลิงก์หรือไฟล์แนบในอีเมลที่ได้รับทุกครั้ง
• หากได้รับคำสั่งโอนเงินหรือคำขอที่เร่งด่วน ต้องยืนยันผ่านช่องทางอื่นเสมอ (เช่น โทรศัพท์ พบหน้า หรือแชทช่องทางอื่น)
• อย่าถือว่าเสียง ภาพ หรือวิดีโอสั้นเป็นหลักฐานเพียงอย่างเดียว ต้องทำการยืนยันเพิ่มเติมเสมอ

ข้อสุดท้ายนี้มีจุดประสงค์เพื่อรับมือกับ Deepfake และ Voice Clone โดยทาง FTC ของสหรัฐอเมริกาก็ได้ออกคำเตือนถึงผู้บริโภคเกี่ยวกับกลโกงที่ใช้ AI โคลนเสียงเพื่อปลอมเป็นคนในครอบครัวหรือหัวหน้างานเพื่อหลอกให้โอนเงินแล้วเช่นกัน

เมื่อวางรากฐานด้าน Cyber Hygiene เรียบร้อยแล้ว ขั้นตอนถัดไปคือการกำหนดกฎเกณฑ์การใช้งาน AI แม้ว่า NIST AI RMF จะจัดระเบียบการบริหารจัดการความเสี่ยงด้าน AI โดยเน้น 4 ฟังก์ชันหลัก ได้แก่ การกำกับดูแล (Governance), การทำแผนที่ความเสี่ยง (Mapping), การวัดผล (Measure) และการจัดการ (Manage) แต่สำหรับธุรกิจขนาดกลางและขนาดย่อม (SME) ไม่จำเป็นต้องร่างเอกสารนโยบายฉบับยาวตั้งแต่เริ่มต้น คุณสามารถสร้างกฎที่ใช้งานได้จริงในหน้างานเพียงแค่ตอบคำถาม 4 ข้อที่สรุปไว้ในหน้าเดียว

1. ข้อมูลประเภทใดที่ไม่ควรป้อนเข้าสู่ AI (ข้อมูลส่วนบุคคลของลูกค้า, เงื่อนไขสัญญา, ซอร์สโค้ด, ข้อมูลเชิงกลยุทธ์ ฯลฯ)
2. พนักงานคนใดสามารถใช้เครื่องมือ AI ตัวใดได้บ้าง (บทบาทและสิทธิ์การเข้าถึง)
3. ผลลัพธ์ประเภทใดที่จำเป็นต้องผ่านการตรวจสอบโดยมนุษย์ (สัญญา, เอกสารทางกฎหมาย, การสื่อสารภายนอก)
4. ใครคือผู้รับผิดชอบหาก AI ให้ข้อมูลที่ผิดพลาดหรือเกิดข้อมูลรั่วไหล

หากเริ่มใช้งาน AI โดยไม่มีการจัดทำเอกสารระบุข้อกำหนดทั้ง 4 ประการนี้ จะนำไปสู่เหตุการณ์ไม่คาดคิดในหน้างาน เช่น "การนำรายชื่อลูกค้าไปวางใน AI เพื่อแปลภาษา" หรือ "การส่งร่างสัญญาให้ลูกค้าโดยตรงโดยไม่ผ่านการตรวจสอบ"

กรณีการใช้งานที่ควรลองเป็นอันดับแรก ให้เริ่มจากสิ่งที่ความเสี่ยงต่ำก่อน

ความเสี่ยงต่ำ (ควรลองใช้ตั้งแต่เนิ่นๆ):

• ช่วยร่างเนื้อหาอีเมลทั่วไป
• สรุปบันทึกการประชุม
• ร่าง FAQ และ SOP สำหรับใช้ภายในองค์กร
• จัดระเบียบโครงสร้างเอกสารที่เผยแพร่ไปแล้ว

ความเสี่ยงสูง (ต้องตัดสินใจอย่างรอบคอบ):

• การอนุมัติค่าใช้จ่ายและการชำระเงินอัตโนมัติ
• การตรวจสอบสัญญาทางกฎหมาย
• การประมวลผลข้อมูลที่ละเอียดอ่อนของลูกค้า
• การตัดสินใจเรื่องสำคัญแทนมนุษย์

เอกสาร "AI Data Security: Best Practices for Securing Data Used to Train and Operate AI Systems" ที่เผยแพร่โดย CISA และหน่วยงานที่เกี่ยวข้อง ได้ระบุถึงหลักการพื้นฐานในการควบคุมการเข้าถึงข้อมูล ความสมบูรณ์ของข้อมูล และธรรมาภิบาลสำหรับข้อมูลที่ป้อนเข้าสู่ AI เมื่อวิสาหกิจขนาดกลางและขนาดย่อม (SME) ทำสัญญาจ้างผู้ให้บริการ ควรตรวจสอบอย่างน้อย 3 ประเด็น ได้แก่ ข้อมูลที่ป้อนเข้าจะไม่ถูกนำไปใช้ในการฝึกสอน AI (Training), ระยะเวลาในการจัดเก็บข้อมูล และการควบคุมการเข้าถึงข้อมูล

ได้สรุปเนื้อหาที่ผ่านมาให้เป็นขั้นตอนที่สามารถลงมือทำได้ภายใน 30 นาทีวันนี้ หากทำตามลำดับจากบนลงล่าง คุณจะสามารถสร้างแนวป้องกันขั้นต่ำขึ้นมาได้

1. ทำรายการบัญชีสำคัญ — จดรายชื่ออีเมลงาน, ธนาคาร, ระบบคลาวด์สตอเรจ (Cloud Storage), โซเชียลมีเดีย (SNS) และบริการชำระเงิน
2. เปิดใช้งาน MFA — อย่างน้อยที่สุดให้เปิดใช้งานกับ 3 บริการข้างต้น ได้แก่ อีเมลงาน, ธนาคาร และคลาวด์สตอเรจ
3. ตรวจสอบการสำรองข้อมูล (Backup) — ตรวจสอบว่าข้อมูลถูกเก็บไว้ที่ไหน เมื่อไหร่ และอะไรบ้าง รวมถึงทดสอบว่าสามารถกู้คืนได้จริงหรือไม่
4. อัปเดตอุปกรณ์และซอฟต์แวร์ที่ใช้ทำงาน — อัปเดต OS, เบราว์เซอร์ และแอปพลิเคชันที่ใช้ทำงานให้เป็นเวอร์ชันล่าสุด
5. สร้างกฎการใช้ AI ในหน้าเดียว — จัดทำเอกสารคำตอบสำหรับคำถาม 4 ข้อที่กล่าวไปข้างต้น
6. แชร์ 3 ความเสี่ยงให้ทีมทราบ — ได้แก่ ฟิชชิ่ง (Phishing), ใบแจ้งหนี้ปลอม และการปลอมแปลงตัวตนด้วยดีปเฟค (Deepfake)

รายการนี้ไม่ใช่มาตรการป้องกันที่สมบูรณ์แบบ แต่ถูกเรียงลำดับตามความสามารถในการลดความเสี่ยงได้มากที่สุดด้วยขั้นตอนที่น้อยที่สุด แม้แต่ในบริษัทขนาดกลางและขนาดย่อมที่ไม่มีเจ้าหน้าที่ไอทีโดยเฉพาะ ผู้บริหารและฝ่ายธุรการเพียง 2 คนก็สามารถดำเนินการให้ครบถ้วนได้ภายในครึ่งวัน

นี่คือคำถามที่พบบ่อยเมื่อวิสาหกิจขนาดกลางและขนาดย่อม (SME) เริ่มต้นการรับมือกับ AI และความเสี่ยงทางไซเบอร์

จำเป็น แต่ไม่จำเป็นต้องยาว สำหรับธุรกิจขนาดเล็ก การสรุปเรื่องการจัดการรหัสผ่าน, MFA, การสำรองข้อมูล, การอัปเดตซอฟต์แวร์ และการรับมือกับฟิชชิง (Phishing) ให้เหลือเพียง 1-2 หน้าถือเป็นจุดเริ่มต้นที่ใช้งานได้จริง ทั้งนี้ NIST CSF 2.0 ของ Small Business Quick-Start Guide ก็แนะนำแนวทางที่ไม่ต้องมุ่งเน้นความสมบูรณ์แบบตั้งแต่ต้น แต่ให้เริ่มจากการประเมินสถานะปัจจุบันแล้วค่อยๆ พัฒนาไปทีละขั้นตอน

ในทางปฏิบัติ ความเสี่ยงที่เกิดขึ้นจริงมี 4 ประการ ได้แก่ การรั่วไหลของข้อมูล, ฟิชชิงที่เขียนโดย AI, การปลอมแปลงตัวตน (Impersonation) และการเผยแพร่ผลลัพธ์จาก AI โดยไม่มีการตรวจสอบจากมนุษย์ ซึ่งถือเป็นความเสี่ยงที่เกิดขึ้นได้ทั้งในองค์กรขนาดใหญ่และขนาดกลาง โดยที่องค์กรขนาดกลางจะได้รับผลกระทบที่รุนแรงกว่าเนื่องจากมีทรัพยากรในการรับมือที่จำกัดกว่านั่นเอง

หากต้องเลือกเพียงสิ่งเดียว ควรเริ่มจากการจัดการ MFA ให้เรียบร้อยก่อน ไม่ว่ากฎการใช้งาน AI จะละเอียดรอบคอบเพียงใด แต่ทันทีที่บัญชีอีเมลถูกแฮ็ก ทุกอย่างก็จะกลายเป็นศูนย์ MFA เป็นมาตรการที่ช่วยลดความเสี่ยงจากการถูกละเมิดบัญชีได้รวดเร็วและคุ้มค่าที่สุด ส่วนการหารือเรื่องนโยบาย AI นั้น สามารถทำหลังจากนี้ได้ทันเวลาอย่างแน่นอน

ทำได้ CISA ได้เผยแพร่เครื่องมือและบริการฟรีมากมายสำหรับธุรกิจขนาดกลางและขนาดย่อม (SME) อีกทั้งคำแนะนำสำหรับ SME ของ NCSC แห่งสหราชอาณาจักร ก็เป็นเนื้อหาที่แม้ไม่ใช่ผู้เชี่ยวชาญด้านเทคนิคก็สามารถนำไปปฏิบัติได้จริงในระยะเวลาอันสั้น รายการตรวจสอบ 30 นาทีในบทความนี้ก็ถูกจัดทำขึ้นให้อยู่ในขอบเขตดังกล่าว การไม่มีเจ้าหน้าที่ไอทีโดยเฉพาะไม่ควรถูกมองว่าเป็น "เหตุผลที่ทำให้รับมือไม่ได้" แต่ควรเปลี่ยนมุมมองให้เป็น "เหตุผลในการคัดกรองสิ่งที่ต้องทำก่อน" ซึ่งจะช่วยให้เริ่มต้นได้ง่ายขึ้น

เมื่อวิสาหกิจขนาดกลางและขนาดย่อม (SME) เริ่มต้นรับมือกับความเสี่ยงด้าน AI และไซเบอร์ ไม่จำเป็นต้องเริ่มจากเครื่องมือที่ล้ำสมัยที่สุด จุดเริ่มต้นควรอยู่ที่ 4 พื้นฐานสำคัญ ได้แก่ MFA, การสำรองข้อมูล (Backup), การอัปเดตซอฟต์แวร์ และการป้องกันฟิชชิง (Phishing) รวมถึงการระบุตำแหน่งของข้อมูลสำคัญ และการกำหนดกฎการใช้ AI ที่เขียนจบได้ในหน้าเดียว รายการตรวจสอบ 6 ข้อในบทความนี้คือเส้นทางที่สั้นที่สุดในการดำเนินการดังกล่าว ก่อนที่จะเริ่มหารือเรื่องการใช้ประโยชน์จาก AI ให้ใช้เวลา 30 นาทีในการเตรียมความพร้อมด้านการป้องกัน นี่คือแนวทางที่คุ้มค่าที่สุดสำหรับองค์กรที่มีทรัพยากรจำกัดในการลดความเสี่ยง

参考文献

• NIST. AI Risk Management Framework. https://www.nist.gov/itl/ai-risk-management-framework
• NIST. Cybersecurity Framework 2.0: Small Business Quick-Start Guide. https://csrc.nist.gov/pubs/sp/1300/final
• CISA. Cyber Guidance for Small Businesses. https://www.cisa.gov/cyber-guidance-small-businesses
• CISA. Phishing Guidance: Stopping the Attack Cycle at Phase One. https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one
• CISA / NSA / FBI. Contextualizing Deepfake Threats to Organizations. https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats
• NCSC. Cyber security advice for small to medium sized organisations. https://www.ncsc.gov.uk/collection/small-business-guide
• CISA and partners. AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems. https://www.cisa.gov/